Con l’adozione delle Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021, entrate in vigore sei mesi dopo, il 10 gennaio 2022, il Garante Privacy ha introdotto importanti novità nella disciplina della Privacy Policy e della Cookie Policy e nelle modalità di raccolta del consenso online.
Il Garante ha motivato il nuovo intervento in ragione di:
- il lungo intervallo di tempo trascorso dall’ultimo provvedimento di carattere generale in materia, risalente al marzo 2015 (Provvedimento del Garante n. 161, del 19 marzo 2015, recante le Linee guida in materia di trattamento di dati personali per profilazione on line),
- le novità normative intervenute nel frattempo, primo tra tutti il Regolamento (UE) 2016/679 – GDPR, che ha imposto anche una rilettura della normativa italiana contenuta nel Codice Privacy, con la conseguente abrogazione o modifica di molte delle sue disposizioni;
- il monitoraggio della effettiva applicazione concreta della normativa, che in questi stessi anni il Garante Privacy ha effettuato, anche a seguito dei numerosi reclami, segnalazioni e richieste di pareri pervenutigli;
- la sempre crescente diffusione di nuove tecnologie caratterizzate da crescenti livelli di potenziali pervasività,
- l’evoluzione comportamentale degli stessi utenti della rete, sempre più orientati alla moltiplicazione delle proprie identità digitali come risultanti dall’accesso a plurimi servizi e funzioni disponibili e, in primo luogo, ai social network.
Le violazioni più frequenti
Nelle Linee guida in esame, il Garante Privacy individua quelli che ha riscontrato essere i comportamenti illegittimi più frequentemente attuati dati titolari del trattamento sui siti web: il c.d. scrolling, il c.d. cookie wall,la reiterazione della richiesta di consenso in presenza di una precedente mancata prestazione dello stesso.
Vediamone insieme le principali caratteristiche che li contraddistinguono:
a) lo scrolling
con la pratica dello scrolling il titolare del trattamento, tramite il semplice scroll down del cursore di pagina, acquisisce il consenso dell’utente all’installazione di cookie di profilazione nel suo dispositivo e al loro successivo utilizzo per trattamenti, quali, appunto, la profilazione, che richiedono il preventivo consenso informato ai sensi dell’art. 7 GDPR.
Al riguardo, il Garante ritiene che lo scrolling non consenta all’utente di effettuare una scelta correttamente informata e consapevole di sottoporsi alla profilazione attraverso il consenso all’installazione di cookie di profilazione, rilasciato, appunto, semplicemente continuando a scorrere la pagina del sito su cui è atterrato.
Secondo il Garante Privacy, per consentire all’interessato di esprimere il proprio consenso in maniera informata e consapevole, il titolare del trattamento deve predisporre adeguate modalità informative ed operative in modo da rendere inequivoco all’utente che l’effetto della propria azione di scroll down equivale alla manifestazione del consenso stesso.
b) il cookie wall
Il Garante Privacy, ancora nelle linee guida, definisce il cookie wall quel meccanismo vincolante nel quale l’utente viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.
La procedura descritta risulta illegittima al momento in cui l’utente è obbligato a rilasciare il proprio consenso se vuole accedere al sito.
c) la reiterazione della richiesta di consenso in presenza di una precedente mancata prestazione dello stesso
La pratica in questione consiste nella spesso ridondante ed invasiva riproposizione, da parte dei gestori dei siti web, del meccanismo basato sulla presentazione del banner contenente la richiesta di accettazione del consenso al trattamento all’installazione ed utilizzo di cookie di profilazione ad ogni nuovo accesso dell’utente al sito.
Secondo il Garante, l’eccessiva riproposizione del banner ai fini dell’acquisizione del consenso, laddove l’utente l’abbia in precedenza negato, appare suscettibile di lederne la libertà inducendolo a prestarlo pur di proseguire nella navigazione libero dalla comparsa del banner contenente l’informativa breve e la richiesta di prestazione del consenso, perciò, la riproposizione del banner sarebbe lecita soltanto qualora ricorra una delle seguenti situazioni:
a) quando mutino significativamente una o più condizioni del trattamento e dunque il banner assolva anche ad una specifica e necessaria finalità informativa proprio in ordine alle modifiche intervenute, come nel caso in cui mutino le terze parti;
b) quando sia impossibile, per il gestore del sito web, sapere se un cookie sia stato già in precedenza memorizzato sul dispositivo per essere nuovamente trasmesso, in occasione di una successiva visita del medesimo utente, al sito che lo ha generato (ad esempio nel caso in cui l’utente cancelli i cookie legittimamente installati nel proprio dispositivo cosicché il titolare non ha modo di tenere traccia della volontà di mantenere le impostazioni di default e dunque di proseguire la navigazione senza essere tracciati)
c) quando siano trascorsi almeno sei mesi dalla precedente presentazione del banner.
Istruzioni per meccanismi di cookie analitici consentiti
I gestori dei siti web devono implementare un meccanismo in base al quale quando l’utente atterra sulla home o su una qualsiasi pagina del sito web deve visualizzare un banner di dimensioni tali da consentirne la immediata individuazione e realizzato in modo da essere facilmente distinguibile rispetto agli altri contenuti della pagina, ma non tale da risultare equivalente al cookie wall.
Il banner deve poter essere chiuso mediante un apposito comando, che, secondo il Garante, deve essere contraddistinto da una X posizionata di regola, e secondo prassi consolidata, in alto a destra e all’interno del banner medesimo, senza essere costretto ad accedere ad altre aree o pagine a ciò appositamente dedicate.
Oltre alla X in alto a destra, prosegue il Garante, il banner deve presentare almeno le seguenti indicazioni ed opzioni:
- l’avvertenza che chiudendo il banner mediante il comando contraddistinto dalla X, l’utente mantiene solo le impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici;
- una informativa minima relativa al fatto che con la chiusura del banner mediante la X il sito utilizza solo cookie tecnici, tuttavia, qualora l’utente presti il consenso con modalità da indicarsi nella medesima informativa breve, il sito può utilizzare anche cookie di profilazione o altri strumenti di tracciamento al fine di inviare messaggi pubblicitari ovvero di modulare la fornitura del servizio in modo personalizzato al di là di quanto strettamente necessario alla sua erogazione, in linea con le preferenze manifestate dall’utente stesso nell’ambito dell’utilizzo delle funzionalità e della navigazione in rete e/o allo scopo di effettuare analisi e monitoraggio dei comportamenti dei visitatori di siti web;
- il link alla privacy policy;
- un comando con il quale l’utente può esprimere il consenso al posizionamento di tutti i cookie (tecnici e di profilazione) ed eventuali altri strumenti di tracciamento;
- il link ad una ulteriore area dedicata nella quale l’utente può selezionare, in modo analitico, soltanto le funzionalità, i soggetti cd. terze parti e i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.
In conclusione, tuttavia, il Garante suggerisce «a tutti i soggetti interessati (accademia, industria, associazioni di categoria, decisori, stakeholder etc.) una riflessione circa la necessità dell’adozione di una codifica standardizzata relativa alla tipologia dei comandi, dei colori e delle funzioni da implementare all’interno dei siti web per conseguire la più ampia uniformità, a tutto vantaggio della trasparenza, della chiarezza e dunque anche della migliore conformità alle regole. Per assicurare che gli utenti non siano influenzati ovvero penalizzati da scelte di design che inducano a preferire una opzione anziché l’altra, si sottolinea inoltre l’esigenza dell’utilizzo di comandi e di caratteri di uguali dimensioni, enfasi e colori, che siano ugualmente facili da visionare e utilizzare».
Successive modifiche al consenso inizialmente prestato
Gli utenti devono poter sempre modificare le scelte iniziali relative ai cookie in modo semplice, immediato e intuitivo, accedendo, tramite un link posizionato nel footer del sito e individuato con una espressione del tipo “rivedi le tue scelte sui cookie” o analoga, ad un’area in cui sono visualizzate le scelte attuali e sono indicate le modalità e i termini di modifica.
Il Garante suggerisce in merito una buona prassi consistente nel posizionamento in ciascuna pagina del dominio, eventualmente pure accanto al link all’area dedicata alle scelte, di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale, lo stato dei consensi in precedenza resi dall’utente consentendone, dunque, in ogni momento l’eventuale modifica o aggiornamento.
I cookie analytics di prima parte e di terze parti
Nel provvedimento n. 229, dell’8 maggio 2014, relativo alla Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie, il Garante affermava che i cookie analytics, al verificarsi di determinate condizioni, possono essere ricompresi nella categoria di quelli tecnici e, perciò, non necessitano dell’acquisizione del consenso dell’interessato per il loro utilizzo.
L’entrata in vigore del GDPR ha imposto al Garante di rivedere tale posizione.
I cookie analytics possono essere equiparati ai tecnici solo se il loro utilizzo non consente di identificare in maniera diretta ed univoca la persona fisica nel cui dispositivo sono stati installati. Si dovrà allora prevedere la possibilità, prosegue il Garante, che lo stesso cookie sia riferibile a più dispositivi, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che lo riceve, ad esempio mascherando opportune porzioni dell’indirizzo IP all’interno del cookie.
Il Garante sottolinea, inoltre, la necessità che l’uso dei cookie analytics sia limitato unicamente alla produzione di statistiche aggregate e che essi vengano utilizzati in relazione ad un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona che utilizza applicazioni diverse o naviga in siti web diversi.
Le componenti da integrare nell’informativa secondo le Linee guida
L’informativa deve essere multilayer (dislocata su più livelli) e può essere multichannel (resa per il tramite di più canali e modalità) utilizzando strumenti funzionali a favorire il contatto con gli utenti, ad esempio, canali video, pop-up informativi, interazioni vocali, assistenti virtuali, l’impiego del telefono, ecc
L’accountability del titolare del trattamento
Secondo il principio di accountability, il titolare del trattamento, una volta effettuata la scelta delle tipologie di cookie e di altri strumenti di tracciamento che intende implementare sul sito, si trova a dover verificare la correttezza e la liceità del sistema prescelto, e a darne adeguata informativa, soprattutto quanto a completezza, chiarezza espositiva, efficacia e fruibilità delle informazioni, nel rispetto della normativa privacy.
Dall’entrata in vigore delle Linee guida, avvenuta, lo si ricorda, il 10 gennaio 2022, il Garante Privacy ha stipulato un nuovo Protocollo d’intesa con il Nucleo speciale Privacy della Guardia di Finanza, nel quale si è previsto, tra l’altro, di incrementare i controlli e l’attività ispettiva nei confronti dei siti web.
Cosa fare per non incorrere in sanzioni?
Vista la tecnicità della materia e le competenze specifiche necessarie non solo per la realizzazione di un sito internet, ma, soprattutto, per la realizzazione dell’attività di marketing sul web, molto spesso il titolare del trattamento si affida a consulenti specializzati, rimettendo loro ogni scelta.
In applicazione al principio di accountability, tuttavia, è sempre e solo il titolare del trattamento che risponde nei confronti degli interessati delle scelte adottate.
Per tali motivi, è opportuno che il titolare del trattamento stili una check-list di adempimenti e si confronti in maniera consapevole con il consulente incaricato per stabilire strategie adeguate. Di seguito i punti principali:
1) stabilire quali cookie sono utilizzati e/o si intende utilizzare all’interno del proprio sito web, verificando, conseguentemente, come l’utente viene informato e le impostazioni utilizzate per l’acquisizione dell’eventuale consenso.
2) stilare una lista dei requisiti richiesti dal Garante e confrontarla con la situazione attuale del proprio sito web, in modo da individuare gli eventuali gap cui apportare gli opportuni correttivi.
3) una volta individuate le azioni, assicurarsi che il consulente prescelto sia in grado di garantire l’adozione di misure tecniche e organizzative adeguate alla sicurezza e protezione dei dati e che conosca la normativa privacy da rispettare.
4) convenire con il consulente le caratteristiche da implementare all’interno del proprio sito web. In questa fase sarà importante non lasciarsi allettare da proposte economiche più convenienti, con il rischio che la convenienza economica sia a scapito della compliance alla normativa.
Una volta disegnate le nuove funzionalità conformemente a quanto previsto dalle nuove Linee Guida, sarà altresì opportuno procedere all’aggiornamento della cookie policy.
La Cookie Policy e la Privacy Policy hanno, tra l’altro, la funzione di rappresentare i trattamenti posti in essere, compresi quelli che hanno ad oggetto i dati personali raccolti mediante i cookie, e il sito web oggigiorno può essere considerato il biglietto da visita più esposto dell’impresa verso gli interessati che, sempre più sensibilizzati sul tema della riservatezza e protezione dei dati personali, dimostrano frequentemente di apprezzare le aziende che risultano compliance alla normativa privacy, perciò, in un contesto in cui la protezione dei dati ha assunto un ruolo centrale nel processo di evoluzione tecnologica e di digitalizzazione, l’obbligo di adeguatezza può rivelarsi un’opportunità per la crescita e la valorizzazione della propria azienda.